ACL

01-07 ACL配置

Page 5 of 18

表格目录

01-07 ACL配置

Page 6 of 18

表格目录

表7-1 ACL分类

表7-2 高级访问控制列表的操作符意义 表7-3 端口号助记符 表7-4 ICMP报文类型助记符

01-07 ACL配置 Page 7 of 18

关于本章

本章描述内容如下表所示。标题

7.1 访问控制列表概述 7.2 配置访问控制列表 7.3 维护访问控制列表 7.4 ACL基本配置举例

7

ACL配置

内容

了解ACL的基本概念和相关参数。

配置基本访问控制列表、高级访问控制列表。 举例：ACL基本配置举例

清除访问控制列表和ACL统计计数器。 举例说明ACL的基本配置。

01-07 ACL配置 Page 8 of 18

7.1 访问控制列表简介

本节介绍了ACL（Access Control List）的概念、分类和相关参数等。具体包括内容如 下：

· · · · · · · · ·

访问控制列表概述 访问控制列表的分类 访问控制列表的匹配顺序

访问控制列表的步长设定 基本访问控制列表 高级访问控制列表 ACL对分片报文的支持 ACL生效时间段 ACL统计

7.1.1 访问控制列表概述

路由器为了过滤数据包，需要配置一系列的规则，以决定什么样的数据包能够通过，这 些规则就是通过访问控制列表ACL定义的。访问控制列表是由permit | deny语句组成的一 系列有顺序的规则，这些规则根据数据包的源地址、目的地址、端口号等来描述。ACL 通过这些规则对数据包进行分类，这些规则应用到路由器接口上，路由器根据这些规则 判断哪些数据包可以接收，哪些数据包需要拒绝。

ACL本身只是一组规则，无法实现过滤数据包的功能；它只能标定某一类数据包，而对这类数据包 的处理方法，需要由引入ACL的具体功能来决定。在产品实现中，ACL需要与某些功能（如策略路 由、防火墙、流分类等功能）配合使用，来实现过滤数据包等功能。

7.1.2 访问控制列表的分类

按照ACL用途，ACL可以分为以下几种类型，具体如表7-1所示。 表7-1 ACL分类 ACL类型

基本的ACL（Basic ACL）

数字范围 2000～2999 3000～3999

高级的ACL（Advanced ACL）

7.1.3 访问控制列表的匹配顺序

一个访问控制列表可以由多条“deny | permit”语句组成，每一条语句描述的规则是不相 同，这些规则可能存在重复或矛盾的地方，在将一个数据包和访问控制列表的规则进行 匹配的时候，到底采用哪些规则呢？就需要确定规则的匹配顺序。 有两种匹配顺序：

· ·

配置顺序（config） 自动排序（auto）

配置顺序

配置顺序（config），是指按照用户配置ACL的规则的先后进行匹配。缺省情况下匹配顺 序为按用户的配置排序。